Vulnerability Disclosure Policy

Zusammenarbeit mit Forschungseinrichtungen zur Verbesserung unserer Online-Sicherheit

TopCashback schätzt die Untersuchung von Sicherheitslücken, die von wohlmeinenden, ethischen Sicherheitsforschern durchgeführt wird, sehr. Wir sind bestrebt, Sicherheitsprobleme in unserer Plattform und unseren Diensten in Zusammenarbeit mit der Sicherheitsgemeinschaft gründlich zu untersuchen und zu beheben. Dieses Dokument zielt darauf ab, eine Methode zu definieren, mit der TopCashback zusammen mit der Sicherheitsforschungsgemeinschaft an der Verbesserung unserer Online-Sicherheit arbeiten kann.

Umfang

Schwachstellen in TopCashback-Produkten und -Dienstleistungen fallen nur dann in den Anwendungsbereich des Bug Bounty Schema, wenn sie die folgenden Bedingungen erfüllen:

  • Sie wurden bisher noch nicht gemeldet oder durch unsere eigenen internen Verfahren entdeckt;
  • Es kann nachgewiesen werden, dass eine tatsächliche Auswirkung auf Topcashback, seine Mitarbeiter oder seine Mitglieder entstehen würde, wenn die gemeldete Schwachstelle von einem Angreifer ausgenutzt wird. Das Vorhandensein einer Schwachstelle beweist nicht notwendigerweise, dass eine solche potenzielle Auswirkung besteht: Theoretische Auswirkungen werden nicht in den Anwendungsbereich der Regelung einbezogen;
  • Sie existiert innerhalb einer Domäne, die eine Datei security.txt in ihrem Ordner .well-known hat. Unterdomänen gelten als im Geltungsbereich, sofern ihre übergeordnete Domäne im Geltungsbereich ist. (z.B. bedeutet das Vorhandensein von: https://<topcashback.de>/.well-known/security.txt, dass subdomain.topcashback.de und www.topcashback.de ebenfalls in den Geltungsbereich fallen.

Die folgenden Sicherheitsprobleme fallen derzeit nicht in den Geltungsbereich (bitte nicht melden):

  • Volumetrische/Denial-of-Service-Schwachstellen (d. h. einfache Überlastung unseres Dienstes durch ein hohes Nachfragevolumen);
  • Schwächen der TLS-Konfiguration (z. B. Unterstützung "schwacher" Chiffriersätze, Unterstützung von TLS1.0, sweet32 usw.);
  • Berichte, die darauf hinweisen, dass unsere Dienste nicht vollständig mit den "Best Practices" übereinstimmen (z. B. fehlende Sicherheits-Header oder suboptimale E-Mail-bezogene Konfigurationen wie SPF, DMARC usw.);
  • Probleme mit der Überprüfung von E-Mail-Adressen, die zur Erstellung von Benutzerkonten verwendet werden;
  • Schwachstellen beim Klick-Missbrauch;
  • Self XSS (d. h. ein Benutzer muss dazu gebracht werden, einen Code in seinen Webbrowser einzufügen);
  • CSRF, wo die Auswirkungen minimal sind;
  • CRLF-Angriffe, bei denen die Auswirkungen minimal sind;
  • Host-Header-Injektion, wenn die Auswirkungen minimal sind;
  • Techniken zur Aufzählung von Netzwerkdaten (z.B. Banner Grabbing);
  • Berichte über unsachgemäße Session Management / Session Fixation Sicherheitslücken.
Zurück zum Anfang

Bounty

Leider bietet TopCashback derzeit kein bezahltes Bug Bounty Programm an. Wir möchten jedoch Sicherheitsforschern, die sich die Zeit und Mühe nehmen, Sicherheitslücken zu untersuchen und uns gemäß dieser Richtlinie zu melden, ein Zeichen unserer Wertschätzung entgegenbringen. Denjenigen, die qualifizierte Sicherheitslücken melden, wird eine besondere Topcashback-Belohnung angeboten.

Zurück zum Anfang

Meldungen

Wenn Sie eine Schwachstelle entdeckt haben, von der Sie glauben, dass sie in den Geltungsbereich fällt (weitere Einzelheiten zum Geltungsbereich finden Sie in Abschnitt 2), senden Sie bitte eine E-Mail an protect@topcashback.co.uk einschließlich:

  • Die Website oder Seite, auf der die Sicherheitslücke besteht.
  • Eine kurze Beschreibung der Klasse (z. B. "XSS-Schwachstelle") der Sicherheitslücke. Bitte vermeiden Sie Angaben, die eine Reproduktion des Problems in diesem Stadium ermöglichen würden. Einzelheiten werden zu einem späteren Zeitpunkt angefordert.

In Übereinstimmung mit der Branchenkonvention bitten wir die Meldenden, wenn immer möglich einen gutartigen (d.h. nicht zerstörerischen) Beweis für die Ausnutzung zu liefern. Dies trägt dazu bei, dass die Meldung schnell und genau bearbeitet werden kann, und verringert gleichzeitig die Wahrscheinlichkeit von Doppelmeldungen und/oder böswilliger Ausnutzung einiger Schwachstellenklassen (z. B. Übernahme von Subdomains). Bitte stellen Sie sicher, dass Sie Ihren Exploit-Nachweis nicht in der ersten E-Mail im Klartext senden, wenn die Sicherheitslücke noch ausnutzbar ist. Bitte stellen Sie auch sicher, dass alle Exploit-Nachweise mit unseren Richtlinien (siehe unten) übereinstimmen. Sollten Sie Zweifel haben, wenden Sie sich bitte per E-Mail anprotect@topcashback.co.uk

Bitte lesen Sie dieses Dokument vollständig, bevor Sie Schwachstellen melden, um sicherzustellen, dass Sie die Richtlinie verstehen und in Übereinstimmung mit ihr handeln können.

Zurück zum Anfang

Erwartungen

Als Antwort auf Ihre erste E-Mail an protect@topcashback.co.uk erhalten Sie eine Bestätigungs-E-Mail vom TopCashback-Sicherheitsteam. Dies geschieht normalerweise innerhalb von 72 Stunden nach Eingang Ihrer Meldung. Die Bestätigungs-E-Mail enthält eine Ticket-Referenznummer, die Sie bei jeder weiteren Kommunikation mit unserem Sicherheitsteam angeben können. Der Bestätigungs-E-Mail ist ein PGP-Schlüssel beigefügt, den Sie für die Verschlüsselung künftiger Mitteilungen mit sensiblen Informationen verwenden können.

Nach dem ersten Kontakt wird unser Sicherheitsteam die gemeldete Schwachstelle einstufen und Ihnen so schnell wie möglich antworten, um zu bestätigen, ob weitere Informationen erforderlich sind und/oder ob die Schwachstelle dem oben genannten Umfang entspricht oder ob es sich um eine doppelte Meldung handelt. Von diesem Zeitpunkt an werden die notwendigen Abhilfemaßnahmen den entsprechenden TopCashback-Teams und/oder Anbietern zugewiesen. Die Priorität für Fehlerbehebungen und/oder Abhilfemaßnahmen wird auf der Grundlage der Schwere der Auswirkungen und der Komplexität der Schwachstelle festgelegt. Die Sichtung und/oder Behebung von Schwachstellenberichten kann einige Zeit in Anspruch nehmen; Sie können sich gerne nach dem Stand des Prozesses erkundigen, aber bitte nicht öfter als einmal alle 14 Tage, damit sich unser Sicherheitsteam so gut wie möglich auf die Meldungen konzentrieren kann.

Unser Sicherheitsteam wird Sie benachrichtigen, wenn die gemeldete Schwachstelle behoben ist (oder Abhilfemaßnahmen geplant sind) und wird Sie bitten, zu bestätigen, dass die Lösung die Schwachstelle angemessen behandelt wurde. Wir werden Ihnen die Möglichkeit geben, uns Rückmeldung über den Prozess und die Zusammenarbeit, sowie über die Behebung der Schwachstelle, zu geben. Diese Informationen werden streng vertraulich behandelt, um uns zu helfen, die Art und Weise zu verbessern, in der wir Meldungen bearbeiten und/oder Dienste entwickeln und Schwachstellen beheben. Wir bieten Ihnen auch an, Meldungen von qualifizierten Schwachstellen auf unserer Danksagungsseite zu veröffentlichen und fragen Sie nach den Details, die Sie angeben möchten.

Zurück zum Anfang

Leitfaden

Sicherheitsforscher dürfen nicht:

  • Zugreifen auf unnötige Datenmengen. Zum Beispiel reichen 2 oder 3 Datensätze aus, um die um die meisten Schwachstellen zu demonstrieren (z. B. eine Aufzählung oder eine direkte Objektreferenz-Schwachstelle);
  • die Privatsphäre von TopCashback-Nutzern, -Mitarbeitern, -Vertragspartnern, -Systemen usw. verletzen. Zum Beispiel durch das Teilen, Weitergeben und/oder nicht ordnungsgemäße Sichern von Daten, die von unseren Systemen oder Dienstleistungen;
  • Schwachstellen oder damit zusammenhängende Details über Methoden mitzuteilen, die nicht in dieser Richtlinie beschrieben sind, oder mit einer anderen Person als Ihrem zuständigen TopCashback-Sicherheitskontakt;
  • unsere Dienstleistung(en) und/oder Systeme zu stören; oder
  • Offenlegung von Schwachstellen in TopCashback-Systemen/Diensten gegenüber Dritten/der Öffentlichkeit, bevor TopCashback bestätigt hat, dass diese Schwachstellen entschärft oder behoben wurden. Dies schließt nicht aus, dass eine Schwachstelle an Dritte gemeldet wird, für die die Schwachstelle direkt relevant ist, z. B. wenn die gemeldete Schwachstelle in einer Softwarebibliothek oder einem Framework auftritt - Einzelheiten zu TopCashback dürfen in solchen Meldungen nicht genannt werden. Wenn Sie sich über den Status einer dritten Partei, an die Sie eine Meldung senden möchten, nicht sicher sind, senden Sie bitte eine E-Mail an protect@topcashback.co.uk um dies zu klären.

Wir bitten darum, dass alle Daten, die im Rahmen der Untersuchung abgerufen wurden, sicher gelöscht werden, sobald sie nicht mehr benötigt werden, spätestens aber 1 Monat nach Behebung der Schwachstelle, was immer schneller eintritt. Außerdem bitten wir Sie, den Zeitpunkt der Löschung per E-Mail an folgende Adresse zu bestätigen protect@topcashback.co.uk.

Wenn Sie zu irgendeinem Zeitpunkt unsicher sind, ob die von Ihnen geplanten Maßnahmen akzeptabel sind, wenden Sie sich bitte an unser Sicherheitsteam, um sich beraten zu lassen (bitte fügen Sie keine sensiblen Informationen in den ersten Nachrichten hinzu): protect@topcashback.co.uk.

Rechtslage

Dieser Leitfaden ist so konzipiert, dass er mit der gängigen Geschäftspraxis von wohlmeinenden Sicherheitsforschern vereinbar ist. Sie geben Ihnen nicht die Erlaubnis, in einer Weise zu handeln, die mit dem Gesetz unvereinbar ist oder TopCashback dazu veranlasst, gegen eine seiner rechtlichen Verpflichtungen zu verstoßen, einschließlich, aber nicht begrenzt auf:

  • Die Datenschutz-Grundverordnung (2018)

Die Topcashback Group wird keine strafrechtliche Verfolgung von Sicherheitsforschern anstreben, die in gutem Glauben und in Übereinstimmung mit dieser Richtlinie eine Sicherheitslücke in einem TopCashback-Dienst melden.

Zurück zum Anfang

Feedback

Wenn Sie uns ein Feedback oder Vorschläge zu dieser Erklärung geben möchten, wenden Sie sich bitte an unser Sicherheitsteam Team: protect@topcashback.co.uk. Diese Policy wird sich im Laufe der Zeit weiterentwickeln, und Ihr Beitrag wird geschätzt, um sicherzustellen, dass sie klar und vollständig ist und relevant bleibt.

Zurück zum Anfang